工業(yè)信息安全應(yīng)急處置解決方案比亞迪“永恒之藍”病毒應(yīng)急處置和安全解決方案在工業(yè)信息安全領(lǐng)域，以集團管控為核心，通過辦公自動化、財務(wù)一體化、內(nèi)控風(fēng)險管控等管理信息系統(tǒng)為主要建設(shè)對象，提高辦公效率、實現(xiàn)全集團有效產(chǎn)品融合、業(yè)務(wù)融合與資源融合，取得了在產(chǎn)品全生命周期集成應(yīng)用、業(yè)務(wù)模式創(chuàng)新等方面的系列成果。一、項目概況項目背景由于工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)上位機操作系統(tǒng)老舊且長期運行未2017年末的工業(yè)破壞者，這些如幽靈般游蕩在工控系統(tǒng)網(wǎng)絡(luò)中的殺手總是伺機而動，一旦得手就會帶來巨大的危害。項目簡介并迅速蔓延至整個生產(chǎn)園區(qū)內(nèi)大部分上位機，產(chǎn)線被迫停止生產(chǎn)。企業(yè)日產(chǎn)值超千萬，停產(chǎn)直接損失嚴重，信息安全部門采取了若干緊急處理措施，防止病毒擴散的同事，盡快解決問題恢復(fù)生產(chǎn)，同時尋求安全廠商共同制定長期有效的安全解決方案。項目目標(biāo)WannaCry防御能力，實現(xiàn)上位機從啟動、加載到持續(xù)運行過程的全生命周期安全保障。二、項目實施概況安全問題研判10企業(yè)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)連通，未部署安全防護措施進行隔離；生產(chǎn)制造產(chǎn)線上位機運行異常，重復(fù)重啟或藍屏，初步斷定為病毒入侵。由于上位機操作系統(tǒng)都是老舊的WindowsXP，感染病毒之后頻繁藍屏重啟，無法在問題終端采樣進行病毒分析。在生產(chǎn)網(wǎng)絡(luò)核心交換機位置旁路部署工業(yè)安全檢查評估系統(tǒng)對生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)流量進行檢測，基于安全大數(shù)據(jù)能力生成多維度網(wǎng)絡(luò)中存在的各種安全威脅。借助工業(yè)安全檢查評估系統(tǒng)的強大檢測分析能WannaCr。比亞迪生產(chǎn)環(huán)境有如下復(fù)雜的特性：場景復(fù)雜性、汽車、新能源和軌道交通四大產(chǎn)業(yè)，每個產(chǎn)業(yè)群都有多個生產(chǎn)工、筆記本電腦、汽車電子、汽車零配件、間。應(yīng)用復(fù)雜性MEPLDCS等等，不同的產(chǎn)業(yè)群、網(wǎng)絡(luò)復(fù)雜性管理層面已規(guī)劃辦公網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、獨立局域網(wǎng)絡(luò)，但很多生產(chǎn)網(wǎng)絡(luò)環(huán)境并沒有嚴格隔離，網(wǎng)絡(luò)情況復(fù)雜。適配復(fù)雜性器、U盤、SD卡、掃描器等外設(shè)設(shè)備的適配。實施復(fù)雜性集團產(chǎn)業(yè)多樣、工業(yè)園分布全球各地，生產(chǎn)車間業(yè)務(wù)繁忙，給予的時間、人員協(xié)調(diào)有限，必須要準(zhǔn)備充分，根據(jù)不同生產(chǎn)線準(zhǔn)備對應(yīng)的應(yīng)急響應(yīng)措施。在信息安全技術(shù)方面存在的問題主要表現(xiàn)在以下幾個方面：施；題后靠人員經(jīng)驗排除；操作系統(tǒng)安全配置薄弱，防病毒軟件安裝不全面；工程師缺少身份認證和接入控制，且權(quán)限很大；存在使用移動存儲介質(zhì)不規(guī)范問題，易引入病毒及黑客攻擊程序；第三方運維生產(chǎn)系統(tǒng)無審計措施，不能追根溯源；在信息安全管理方面存在的問題主要表現(xiàn)在以下幾個方面：組織結(jié)構(gòu)人員職責(zé)不完善，工控安全人員缺乏；生產(chǎn)信息安全管理制度和流程不夠完善；應(yīng)急響應(yīng)機制不健全，需進一步提供安全事件應(yīng)對能力；人員信息安全培訓(xùn)不足，人員安全意識有待提高；尚需完善第三方人員管理體制。對策與措施安服人員發(fā)現(xiàn)上位機感染W(wǎng)annaCry病毒之后，為了避免上位機中數(shù)據(jù)被加密帶來進一步的危害，緊急在生產(chǎn)網(wǎng)絡(luò)中部署一臺偽裝病毒服務(wù)器，域名設(shè)定為毒網(wǎng)站，并通過策略設(shè)置將生產(chǎn)網(wǎng)上位機 DNS指向此偽裝服務(wù)器，阻止了WannaCry病毒的后續(xù)影響。企業(yè)生產(chǎn)園區(qū)占地范圍很大，感染病毒的上位機幾乎遍布各個園區(qū)，單純依靠人力難以逐一定位問題終端。工業(yè)安全檢查評估工具在此過程中發(fā)揮了巨大作用，不僅給出了感染病毒的準(zhǔn)確研判，而且詳細統(tǒng)計出所有問題終端的IP地址和MAC地址，結(jié)合企業(yè)提供的資產(chǎn)清單，安服人員和廠方技術(shù)人員很快確定了絕大部分問題終端的具體位置。完成定位之后，安服人員第一時間關(guān)閉了網(wǎng)絡(luò)和終端的445端口，避免病毒進一步擴散。經(jīng)過現(xiàn)場細致排查溝通，確定以下信息：上位機硬件配置資源有限，無法安裝殺毒軟件；行打補丁操作；重裝系統(tǒng)會導(dǎo)致專用軟件授權(quán)失效，帶來經(jīng)濟損失。對上位機系統(tǒng)和數(shù)據(jù)造成影響，安服人員首先備份了問題終端系統(tǒng)及數(shù)據(jù)，然后WannaCry病毒專殺工具進行殺毒處理，清除感染的病毒。具體應(yīng)用場景和解決方案為了避免處理完成的上位機再次感染病毒，安服人員在上位機上部署安裝了下發(fā)、終端軟硬件資產(chǎn)管理、安全日志收集告警等，從而實現(xiàn)統(tǒng)一管理、配置和安全風(fēng)險管控。

圖1工業(yè)主機安全防護部署架構(gòu)圖工業(yè)專用的主機防護軟件：針對比亞迪工業(yè)主機復(fù)雜性特點，工業(yè)主機防護系統(tǒng)須進行老舊操作系統(tǒng)（winXP）C15/MES十種工業(yè)軟件的適配支持以及各類工業(yè)主機硬件的支持。比亞迪生產(chǎn)線上工控系統(tǒng)不允許在運行期間進行升級，白名單技術(shù)無需進行病毒庫升級，能夠智能學(xué)習(xí)并自動生成工業(yè)主機操作系統(tǒng)及專用工業(yè)軟件正常一鍵切換。工業(yè)主機“永恒之藍”防御：針對比亞迪的“永恒之藍”勒索病毒，白名單在防護模式下會放行正常的操作系統(tǒng)進程及專用工業(yè)軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻層攔截模式。UUSB移動存儲進行權(quán)限管控，通過針USB移動存儲的硬件ID進行識別和匹配，對所允許的外設(shè)進行權(quán)限管控（讀和讀寫USB移動存儲進行病毒傳播和非法外設(shè)進行文件讀取。工業(yè)資產(chǎn)全面可見針對比亞迪生產(chǎn)線中工業(yè)主機資產(chǎn)難以梳理，并依靠手工登記匯總的情IP的網(wǎng)絡(luò)分組進行周期性地發(fā)現(xiàn)與統(tǒng)計網(wǎng)絡(luò)中的終端數(shù)量及類型。從而了解生產(chǎn)線上工業(yè)主機數(shù)量和工業(yè)主機安全防護系統(tǒng)終端的安裝量，為比亞迪進行工業(yè)主機管理和安全運維提供有效的參考。比亞迪生產(chǎn)線中，當(dāng)存在大量工業(yè)主機、設(shè)備時，尤其出現(xiàn)安全風(fēng)險或問題時，需要一臺一臺主機和設(shè)備進行安全排查，工業(yè)主機防護具有軟件化的控制中心，可以針對主機上客戶端進行集中管理和安全風(fēng)險分析，基于用戶組織架構(gòu)進行安全風(fēng)險管理并可以進行終端功能進行單點維護和定制化。三、下一步實施計劃主機。做好此次事件的總結(jié)，制定好工控應(yīng)急響應(yīng)計劃和定期演練，避免再次出現(xiàn)病毒大規(guī)模擴散傳播，及造成產(chǎn)線停產(chǎn)帶來的嚴重經(jīng)濟損失。防護軟件并進行白名單設(shè)置和U盤管控。四、項目創(chuàng)新點和應(yīng)用價值項目先進性及創(chuàng)新點工業(yè)安全檢查評估工具和工業(yè)主機防護軟件是解決工業(yè)主機脆弱性問題的一劑良藥。工業(yè)主機安全防護軟件基于輕量級“應(yīng)用程序白名單”技術(shù)，以及基IDU安全風(fēng)險管理等特點，真正貼合了工業(yè)企業(yè)的實際需求，操作簡單的特點也符合生產(chǎn)技術(shù)人員的操作習(xí)慣。該方案能夠適用于大部分工業(yè)控制系統(tǒng)，是一套成熟可靠的安全解決方案。實施效果針對比亞迪“永恒之藍”的安全問題，通過在全國各地園區(qū)生產(chǎn)線上共計部署17000多點工業(yè)主機安全防護軟件，自部署以來運行穩(wěn)定。通過工業(yè)主機安全防護軟件，能夠自動生成工業(yè)主機操作系統(tǒng)及專用工業(yè)軟件正常行為模式的“白名單”防護基線，以及針對單個U盤的管控，為比亞迪工業(yè)主機創(chuàng)建安全的運行環(huán)境，讓比亞迪信息基礎(chǔ)設(shè)施運行的更安全、更可靠。在比亞迪所有園區(qū)生產(chǎn)線中工業(yè)主機均部署了工業(yè)主機防護軟件：生產(chǎn)穩(wěn)定運行；對生產(chǎn)線中工業(yè)主機進行了全面梳理，有利于實現(xiàn)資產(chǎn)統(tǒng)計和分析；一時間發(fā)現(xiàn)工業(yè)主機安全風(fēng)險；產(chǎn)線工業(yè)軟件安裝和處置。實施價值整體化的安全方案從設(shè)備安全來看，從技術(shù)層面出發(fā)，全網(wǎng)終端形成了統(tǒng)一的防病毒體系，有效抵御病毒及木馬的入侵，并結(jié)合終端管理軟件對終端進行集中管理，安全策略集中部署、補丁下發(fā)控制、資產(chǎn)收集統(tǒng)計、終端行為控制與審計、流氓軟件識別、安全控制等方面進行了整體部署。從管理角度出發(fā)，工控態(tài)勢感知、漏洞檢測、安全審計和監(jiān)測、功能的引入將實現(xiàn)對全網(wǎng)工控行為、漏洞、狀態(tài)、安全趨勢的完全管理。從運維安全角度來看，規(guī)范本行操作人員和第三方代維廠商的操作行為。通過定期對維護人員的操作審計，可以提高維護人員的操作規(guī)范性。針對性的區(qū)域隔離防護能力在各個地區(qū)與總部之間分別部署安全防火墻，實現(xiàn)工業(yè)園級的病毒安全防護隔離，實現(xiàn)網(wǎng)絡(luò)分層分區(qū)，邊界訪問控制。符合工控安全防護指南要求方案針對《工業(yè)控制系統(tǒng)信息安全防護指南》所提出安全建議，對應(yīng)實現(xiàn)的安全防護見表格中內(nèi)容。1、物理安全防護指南 具體內(nèi)容一、安全軟件 建立防病毒和惡意軟件入侵管選擇與管理 機制，對工業(yè)控制系統(tǒng)及臨時接入設(shè)備采取病毒查殺等安全預(yù)防措施。做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機和二、配置和補工業(yè)控制設(shè)備的安全配置，建立工業(yè)丁管理 控制系統(tǒng)配置清單，定期進行配置計。

防護措施病毒的白名單軟件。進行安全配置變更。2、網(wǎng)絡(luò)安全防護指南防護3、主機安全

嚴格的安全評估和測試驗證。全漏洞，定期更新漏洞庫。具體內(nèi)容 防護措施通過工業(yè)控制網(wǎng)絡(luò)邊界防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)出口位置部網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，署安全防火墻，禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。實現(xiàn)各園區(qū)網(wǎng)絡(luò)通過工業(yè)防火墻、網(wǎng)閘等防護設(shè)備對工業(yè)控制邊界的防護。網(wǎng)絡(luò)安全區(qū)域之間進行邏輯隔離安全防護。防護指南 具體內(nèi)容一、安全軟件 建立防病毒和惡意軟件入侵管選擇與管理 機制，對工業(yè)控制系統(tǒng)及臨時接入設(shè)備采取病毒查殺等安全預(yù)防措施。二、配置和補 做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機丁管理 工業(yè)控制設(shè)備的安全配置，建立工控制系統(tǒng)配置清單，定期進行配置審計。

防護措施在工作站、服務(wù)器布置防病毒的白名單軟件部署安全配置核查系統(tǒng)，對系統(tǒng)各類設(shè)備進行安全配置核查設(shè)計，對于安全配置較差的設(shè)備，在保證生產(chǎn)的前提下進行安全配置變更。密切關(guān)注重大工控信息安全漏洞部署工控漏洞掃描系統(tǒng)，及其補丁發(fā)布，即使采取補丁升級措及時發(fā)現(xiàn)工作站、服務(wù)器、網(wǎng)施。在補丁安裝前，需對補丁進行絡(luò)設(shè)備及工控設(shè)備中存在的安嚴格的安全評估和測試驗證。全漏洞，定期更新漏洞庫。10| 工業(yè)互聯(lián)網(wǎng)先進應(yīng)用案例集4、工業(yè)控制設(shè)備安全防護指南二、配置和補丁管理

具體內(nèi)容密切關(guān)注重大工控信息安

防護措施部署工控漏洞掃描系統(tǒng)，二、安全監(jiān)測和應(yīng)急預(yù)案演練5、應(yīng)用安全

評估和測試驗證。在重要工業(yè)設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設(shè)備，限制違法操作。

及時發(fā)現(xiàn)工作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備及工控設(shè)備中存在的安全漏洞，定期更新漏洞庫。在工業(yè)子系統(tǒng)的控制設(shè)備前端部署適用于工業(yè)現(xiàn)場的專用防火墻